Зашифрованные учетные данные пользователя при их передаче

Question

Как мы можем зашифровать учетные данные пользователя, когда они передаются с помощью php? (в формах входа)

Спасибо

Answer 1

«учетные данные пользователя» - это , а не * имя пользователя и пароль.Учетные данные пользователя - это любые данные, которые используются для аутентификации.Нет смысла использовать https для страницы входа в систему, если вы просто сообщаете идентификатор сеанса через несколько миллисекунд с помощью http.Идентификатор сеанса является учетными данными и должен быть защищен так же, как имя пользователя / пароль.

Вы должны использовать https для всего сеанса.Распространение идентификатора сеанса по HTTP является явным нарушением топ-10 OWASP: Сломанная аутентификация и управление сеансом .

Answer 2

Самый простой способ - использовать действие формы с URL-адресом https, например:

<form action="https://example.com/target.php" method="post">

В качестве альтернативы, вы можете выполнить некую дайджест-аутентификацию.Сервер отправит одноразовый номер и запрос, и вы, используя javascript, будете использовать эти данные и пароль для создания дайджеста, который вы отправите серверу для проверки.Пример см. В дайджест-аутентификации HTTP .

.

Answer 3

Вы можете использовать одно из следующих действий, чтобы запретить отправку пароля по строке в виде простого текста:

• Использовать HTTPS.
• Использовать HTTP Digest аутентификация.
• Зашифруйте пароль, используя Javascript.

Answer 4

Лучший способ - использовать ssl (https) для входа в систему